Palveluista saadaan turvallisia, kun asian tärkeys ymmärretään läpi tuotantoketjun

Hakkerointitaidoista on hyötyä ohjelmistokehityksen parissa työskennellessä. Internet-palveluista saadaan turvallisia siten, että tietoturva ja sen tärkeys ymmärretään riittävän hyvin eri kohdissa palveluiden tuotantoketjua, kirjoittaa Nelonen Median hakkerointia harrastava Lead Developer Ossi Väänänen.

Tietovuodot ja -murrot ovat joka viikko uutisissa. Niiden motiiveina voi olla vaikkapa taloudellinen hyöty, poliittinen etu, vakoilu tai kiusanteko. Jokainen digiloikka tuo internetiin lisää dataa, jonka voi varastaa, ja lisää järjestelmiä, joihin voi murtautua.

Valitettavan monissa tietovuodoissa arkaluontoiset tiedot ovat kenen tahansa ladattavissa internetissä ilman minkäänlaista autentikointia. Esimerkiksi Ruotsissa muutama viikko sitten kävi ilmi, että kaikki valtakunnalliseen terveysneuvontaan soitettujen puheluiden tallenteet olivat avoimella www-palvelimella kenen tahansa ladattavissa. Alkeellinen ymmärrys tämänkin palvelun toteutuksessa, ylläpidossa tai hankinnassa olisi estänyt tietovuodon, jota eri medioissa kuvattiin massiiviseksi katastrofiksi.

Internet-palveluista saadaan turvallisia siten, että tietoturva ja sen tärkeys ymmärretään riittävän hyvin eri kohdissa palveluiden tuotantoketjua. Palvelu- ja ohjelmistokehitysprojektien alkupäässä kannattaa esimerkiksi tehdä uhkamallinnusta, jossa pyritään etukäteen tunnistamaan mm. palveluun tallennettava kriittinen tieto ja arvioimaan siihen kohdistuvat tietoturvauhat ja niihin liittyvät riskit.

Uhkamallinnuksen avulla tietoturvariskit ovat alustavasti tiedossa jo ennen kuin ensimmäistä koodiriviä on kirjoitettu ja riskeihin voidaan varautua jo suunnitteluvaiheessa. Tietoturvan toteutuminen käytännön ohjelmisto- ja palvelukehityksessä edellyttää, että mahdollisimman moni ymmärtää tietoturvan merkityksen ja arvostaa sen huomioimista. Tietoturvaa ei voida toteuttaa niin, että vain jotenkin rakennetaan palvelu, ja lopuksi lätkäistään siihen konsulttiyhtiöltä ostettu tietoturva päälle. Eikä kaikkien kehittäjien tarvitse olla läppärit ja tiirikat mukanaan yössä kulkevia hakkereita. Tietoisuus tietoturvan tärkeydestä ja ymmärrys perusasioista auttaa pitkälle.

Itse kiinnostuin tietoturvan opiskelusta ja harjoittamisesta parisen vuotta sitten ja olenkin käyttänyt lukemattomia iltoja ja öitä asioiden rikkomiseen ja niihin murtautumiseen (kaikki kohteet laillisia). Vaikka tämä on itsessäänkin hauskaa, hakkerointitaidoista on hyötyä myös töissäni ohjelmistokehityksen parissa. Tietoturvauhkien arviointi on helpompaa, jos on omakohtaista käytännön kokemusta eri uhkista ja haavoittuvuuksista. Esimerkiksi kehnosti toteutettu www-sivun syötteen validointi tarkoittaa joissain rajatuissa olosuhteissa sitä, että koko palvelin on mahdollista saada pikku vaivalla omaan hallintaan. Näiden rajattujen olosuhteiden ymmärrys onkin sitten pitkän opiskelun takana.

Porukassa tekeminen on hauskempaa kuin yksin. Viime vuonna tapasin Disobey-hakkeritapahtumassa hyviä tyyppejä ja sain uusia kavereita. Turusta löysin TurkuSec-hakkeriyhteisön ja sieltä lisää kavereita. Tampereella on vastaava TreSec-niminen yhteisö. Aika nopeasti huomasin, että tietoturvan suhteen Suomessa on aika pienet piirit ja miltei kaikki tuntevat toisensa. Helsingissä ei vastaavaa kuukausittain tapaavaa ja toimivaa yhteisöä ollut, joten perustin Elisalla tietoturvatehtävissä työskentelevän Juho Jauhiaisen kanssa HelSec-yhteisön. Teemme yhteistyötä Disobey-organisaation ja muiden kaupunkien tietoturvayhteisöjen kanssa.

HelSecin toiminta on lähtenyt vauhdikkaasti käyntiin. Ensimmäinen kuukausittainen meetupimme oli tammikuussa ja sen isännöi Sanoma. Tapahtumassa puhumassa oli mm. EFF:lle keikkaa heittävä hakkeri Joona Hoikkala ja TV:stäkin tuttu Iiro Uusitalo. Jokaiseen meetupiin tarvitsemme puhujien lisäksi jonkin firman tai yhteisön sponsoriksi tarjoamaan tilat ja tarjottavat. Yritysten ja yhteisöjen suunnalta saamamme apu on ollut hämmentävän runsasta ja nyt meillä onkin jo tilat ja sponsorit selvillä loppuvuoteen asti. Tänä keväänä aloitamme myös workshopit, joissa harjoitellaan erilaisia hakkerointitaitoja ohjatusti porukalla.

HelSecin pyörittämisessä on oma vaivansa, mutta on hyvin palkitsevaa nähdä kun meetupeissa kymmenet ihmiset tekevät uusia tuttavuuksia ja tieto ja innostus leviää. Parhaan palautteen sain pidettyäni hakkeriaiheisen esitelmän jossain meetupissa viime syksynä, kun yleisössä ollut henkilö kertoi minulle esityksen jälkeen: ”Jonain päivänä minäkin haluan olla hakkeri.”

 

Olisiko sinulla #sanomista? Haussa muun muassa Web Developer Rakentaja.fi:lle

09.04.2019